¿Hay algún tipo de funciones de seguridad que normalmente debe proporcionar un conmutador, ya que estas características de seguridad no pueden ejecutarse en un firewall (que generalmente funciona en la capa 3 = capa IP y superior)?
Estaba pensando en algún tipo de protección ARP que funcione en la capa 2, pero en realidad no sé si algún interruptor ofrece este tipo de protección. ¿Cuáles son algunas otras funciones de seguridad en esta categoría?
Hay una serie de características de seguridad que solo se pueden implementar en la capa dos.
802.1X se utiliza para autenticar hosts y para evitar que hosts no autenticados se conviertan en parte de su red. // Como se mencionó anteriormente, también puede incluir en la lista blanca / negra los dispositivos en función de su MAC, pero esto no es tan confiable como 802.1X porque la dirección MAC de un dispositivo puede ser falsificada de manera relativamente fácil.
VLAN s pueden usarse para cambiar diferentes redes en un switch. Esto se puede usar para segmentar una red que puede aumentar la seguridad cuando se realiza correctamente. Las VLAN también se pueden usar en combinación con 802.1X para aislar hosts cuando violan una política que desea aplicar.
Port Security se puede usar para limitar los dispositivos que se pueden conectar a un solo puerto. Esto evita la inundación de la tabla CAM de interruptores. De lo contrario, el conmutador bajaría a un HUB o DoS. También se puede usar la seguridad de puertos para prevenir otros ataques que operan en una capa superior, pero solo se pueden prevenir cuando se puede incluir una capa inferior. Por ejemplo, limitar DHCP a un puerto físico específico.
Spanning Tree se utiliza para evitar lazos de red. La mayoría de los bucles se crean por accidente, pero también pueden usarse intencionalmente para causar un DoS.
Storm Control está relacionado con el árbol de expansión y ayuda a suprimir el tráfico generado por una tormenta de paquetes o incluso a cerrar los puertos afectados.